باج افزار چیست ؛ شناخت انواع باج افزار و روش های مقابله با آن

طی چند سال گذشته، حملات گسترده‌ای با باج افزارهای مبتنی بر رمزگذاری که به نام Locker هم شناخته می‌شوند، انجام شده و تهدید آن هم شامل کسب‌وکارهاست و هم کاربران خانگی و در کل، کامپیوترها و دستگاه‌های مبتنی بر شبکه را هدف قرار می‌دهد. برای اجتناب یا به حداقل رساندن خرابی ناشی از باج افزارها چه باید کرد؟ چه کسانی طعمه حملات باج افزار هستند؟ در این مقاله درباره این بدافزارِ رمزگذاری فایل و چگونگی عملکرد و راهکارهای مقابله با آن صحبت کنیم.

• باج افزار چیست؟
• انواع باج افزار
• باج افزار Scareware
• باج افزار Screen lockers
• باج افزار Encrypting
• باج افزار Leakware یا Doxware
• باج افزارباج افزار Phishing Spam
• 11 راهکار مقابله با باج افزار
• Snapshot، راهکار ساده مقابله با باج افزار
• چه کسانی هدف باج افزار هستند؟
• اقدامات لازم بعد از آلودگی به باج افزار

باج افزار چیست؟

باج افزار یا Ransomware نوعی بدافزار یا Malware است که که جلوی دسترسی به کامپیوتر و اطلاعات شخصی را می‌گیرد و فایل‌های فرد قربانی را رمزگذاری می‌کند. پس از آن فرد مهاجم از قربانی درخواست باج می‌کند و در قبال پرداخت باج، دسترسی او به دیتا و اطلاعات را برمی‌گرداند. طریقه پرداخت را به قربانی اعلام می‌کند و کلید رمزگشایی باج افزار که فقط خودش می‌داند را به او می‌دهد. این مبلغ می‌تواند به صورت پول یا رمزارز باشد مثلا بیت کوین یا MoneyPay حتی ممکن است اطلاعات کارت اعتباری شما را درخواست کند.

باج افزارها می‌توانند جلوی دسترسی شما به سیستم عامل را بگیرند، فایل‌ها را تغییر دهند یا رمزگذاری کنند تا نتوانید از آن ها استفاده کنید، اجرای برنامه‌های خاصی را در سیستمتان متوقف کنند مثلا مرورگرتان.

باج افزارها می‌توانند هر‌ یک از کاربران کامپیوترها را مورد هدف قرار دهند، چه یک سیستم کامپیوتر خانگی باشد یا یک سیستم در شبکه یک شرکت بزرگ، یا سرورهای سازمان های دولتی و خدمات درمانی و …

روش های آلوده شدن به باج افزار متفاوت است و می‌تواند از طریق لینکهای فریبنده مانند ایمیل، پیامک و وب سایت و … باشد. در ادامه با انواع باج افزار آشنا می‌شویم.

انواع باج افزار

انواع مختلفی از باج افزارها وجود دارند که تمامی آن ها جلوی استفاده از سیستمان را می‌گیرند و تقاضای پرداخت پول در ازای دسترسی به سیستم یا فایلهایتان می‌دهند. سه نوع اصلی باج افزار و سپس دو نوع دیگر را در ادامه معرفی می‌کنیم.

باج افزار Scareware

باج افزار Scareware ساده‌ترین نوع باج افزار است که با استفاده از تاتیک‌های ترسناک و رعب‌آور سعی در گول زدن قربانی می‌کند. ممکن است به صورت آنتی ویروس‌های قلابی ظاهر شوند و پیغامهایی ارایه دهند که کامپیوترتان دچار مشکلاتی شده و با پرداخت آنلاین می‌توانید آن را رفع کنید.

این نوع باج افزار، نرم افزار امنیتی دغل‌بازی است که از طریق پشتیبانی سیستمی اقدام به شیادی می‌کند. شما به عنوان هدف این نرم افزار، پیغام هایی به صورت Pop up دریافت می‌کنید مبنی بر این که روی سیستمتان بدافزار پیدا شده و برای اینکه از شرش راحت شوید باید مبلغی بپردازید. اگر هیچ واکنشی انجام ندهید، این پیغام ها همچنان ادامه می‌یابند اما در عوض فایلهایتان در امان هستند.

در واقع هیچ نرم افزار امنیت سایبری بدین شکل کار نمی‌کند که به کاربر اصرار در انجام کاری داشته باشد. اگر از هر نوع نرم افزار امنیتی استفاده می‌کنید اصلا لازم نیست برای رفع آلودگی هزینه‌ای پرداخت کنید چون قبلا هزینه نرم افزار را پرداخته‌اید. اگر هم که نرم افزار امنیتی ندارید پس شرکت‌های مرتبط با این نرم افزارها هرگز شما را مانیتور نمی‌کنند تا آلودگی به باج افزار را برایتان تشخیص دهند.

در این نوع حمله چند حالت به وجود می‌آید:

1. با پیغام های پاپ آپ و هشدارهای فراوان بمباران می‌شوید.
2. کامپیوترتان دیگر کار نمی‌کند.
3. صفحه‌ای باز می‌شود و اعلام می‌کند کاربر این کامیوتر مرتکب کار غیرقانونی شده است.

در این حملات، فایل‌ها قفل می‌شوند، رمزگذاری شده و و ریکاوری آنها برای کاربر فقط در برابر پرداخت وجه امکانپذیر خواهد بود. البته که حتی در صورت پرداخت، گارانتی و ضمانتی مبنی بر توانایی دسترسی کامل به سیستم و شکستن قفل باج افزار وجود ندارد.

باج افزار Screen lockers

وقتی باج افزار lock-screen به کامپیوتر شما دسترسی می‌یابد، یعنی کلا از کامپیوترتان بیرون شده‌اید. وقتی آن را روشن می‌کنید، پنجره‌ای ظاهر می‌شود که معمولا لوگوی سازمانهای رسمی مانند FBI یا پلیس دارد و می‌گوید فعالیت غیرقانونی با سیستم خود انجام داده‌اید و باید جریمه بپردازید. سازمان‌های قانونی هرگز در چنین مواقعی از این روش استفاده نمی‌کنند و از کانال‌های قانونی اقدام لازم را انجام می‌دهند. برخی قربانی‌ها از ترس ممکن است این حمله را به سازمانهای قضایی اعلام نکنند.

باج افزار Encrypting

باج افزار Encrypting فایل‌های شما را دزدیده و رمزگذاری می‌کند، درخواست پول کرده و در قبال آن فایل‌ها را رمزگشایی و تحویل می‌دهد. دلیل اینکه این باج افزار خیلی خطرناک است این است که وقتی مجرم سایبری به فایل‌هایتان دسترسی یابد، هیچ نرم افزار امنیتی یا ری‌استور کردن سیستم نمی‌تواند آنها را به شما برگرداند. تنها راه برای بازیابی اطلاعات باج افزار و فایل‌هایتان، پرداخت باج است که در این صورت باز هم هیچ گارانتی وجود ندارد.

Locker، باج افزار رمزگذاری فایل است (CryptoLocker و CTB Locker و TeslaCrypt و …) که فایل‌های موجود در درایوهای لوکال، درایوهای قابل ریموو، درایوهای شبکه مپ شده، و حتی مپینگ دراپ باکس را رمزگذاری می‌کند. قربانیان این حمله، یا باید مبلغ درخواست شده را برای رمزگشایی فایل‌ها‌یشان پرداخت کنند یا دیگر قادر به باز کردن مجدد آنها نیستند.

باج افزار Leakware یا Doxware

در این نوع حمله، مهاجم سایبری، قربانی را تهدید به پخش اطلاعات حساس او که روی هارد است می‌کند. چون پیدا کردن و بیرون کشیدن این اطلاعات برای هکر کار بسیار سختی است، نوع encryption ransomware رایج‌ترین نوع است.

باج افزار Phishing Spam

یکی از رایج‌ترین روش‌های ساخت باج افزار است که در آن از طریق ایمیل و به شکل فایلی که مورد اعتماد است ظاهر می‌شود. وقتی این فایل دانلوذ و باز می‌شود، وارد کامپیوتر قربانی می‌شوند. با استفاده از Social Engineering – مهندسی اجتماعی کاربر را ترغیب به دادن دسترسی ادمین می‌کند. در نوع بدتر آن مثل NotPetya، حفره‌های امنیتی برای آلوده کردن کامپیوتر ایجاد می‌شود و دیگر نیازی به گول زدن کاربر هم ندارد.

11 راهکار مقابله با باج افزار

باج افزارها می‌توانند از طریق هر منبعی که بدافزارهای دیگر (ویروسها) وارد سیستمتان می‌شوند، به سیستم شما نفوذ کنند. راه های نفوذ باج افزارها  به سیستم شما شامل موارد زیر است:

• مشاهده و بازدید از سایت‌های نامن، مشکوک یا جعلی.
• باز کردن ایمیل‌ها و پیوست‌های ایمیل‌ها از اشخاصی که نمی‌شناسید یا منتظر ایمیل از آن‌ها نیستید. حتی ممکن است این ایمیل ها در قالب شخصی باشند که می‌شناسید یعنی جعل هویت شده باشند.
• کلیک کردن بروی لینک‌های بد یا مخرب در ایمیل‌ها، فیس بوک، توییتر، دیگر رسانه‌های اجتماعی و مسنجرهایی مانند Skype.

در زیر 11 راهکار برای مقابله با باج افزارها و جلوگیری و حذف باج افزار ارایه شده است:

1. مهمترین راهکار در جهت جلوگیری و حذف باج افزار، داشتن برنامه روتین بکاپگیری از اطلاعات است. زمانبندی بکاپ، اطلاعات حساس شما را در برابر باج افزار حفظ می‌کند. حتما از امنیت فایل‌های محرمانه و حساس شرکت اطمینان حاصل کنید و یک نسخه پشتیبان از آن‌ها تهیه کنید. دقت داشته باشید که نسخه‌های پشتیبان را در فضاهای غیرمتصل به شبکه یا تجهیزات ذخیره سازی جانبی، نگهداری کنید. ذخیره سازی ابری یا Cloud Storage راهکار پیشنهادی خوبی است چون مجهز به رمزگذاری سطح بالا و مجوزهای دسترسی چندمرحله‌ای است. خریدن USB و هارد اکسترنال در موارد خانگی و کوچک گزینه مناسبی است اما مراقب باشید که بعد از بکاپگیری حتما از دستگاه‌تان جدا شده است وگرنه ممکن است آن هم دچار باج افزار شود. مطلب “بهترین روش های بک آپ گیری از سرور و شبکه” را حتما مطالعه کنید.
2. استفاده از Snapshot – اسنپ شات. این مورد در ادامه بررسی شده است.
3. سیستم و نرم افزارهای شما باید همواره آپدیت باشند. بهتر است آپدیت خودکار را فعال کنید تا در صورت فراموش کردن شما، اتواماتیک این کار انجام شود.
4. باید فایروال سیستم خود را همواره روشن نگه دارید. برای آشنایی با فایروال مقاله “فایروال چیست؟ انواع فایروال سخت افزاری و نرم افزاری” را مطالعه کنید.
5. نباید وارد وب سایت های مشکوک شوید.
6. نرم افزار آنتی ویروس خود را حتما از شرکت معتبری تهیه کنید تا شما را در برابر جدیدترین باج افزارها حفظ کند.
7. ایمیل های مشکوک را باز و فایل آنها را دانلود و باز نکنید.
8. تا زمانی که دقیقاً به صفحه یا ارسال کننده پیام اطمینان ندارید روی لینک‌های موجود در صفحه وب، ایمیل یا پیام چت کلیک نکنید.
9. اگر از لینیکی مطمئن نیستید روی آن کلیک نکنید.
10. اغلب ایمیل‌ها و صفحات وب جعلی دارای نگارش بد و یا ظاهر غیر طبیعی هستند. مانند اشتباهات املایی و عجیب و غریب از نام شرکت‌ها (مانند “PayePal” به جای “PayPal”)، پس در مواجه با این موارد بسیار محتاط و هوشمندانه عمل کنید.
11. همواره دانش خود و کارمندانتان را ارتقا دهید. یکی از رایج‌ترین روش‌های نفوذ باج افزار استفاده از مهندسی اجتماعی است.

Snapshot، راهکار ساده مقابله با باج افزار

ساده‌ترین روش برای مقابله با باج افزار، اطمینان از این است که همواره بکاپ هایی با Versioning داشته باشید. در ادامه به این می‌پردازم که چگونه با داشتن چنین بکاپ هایی می‌توانید اطلاعاتتان را که روی QNAP NAS است از باج افزار حفظ کنید. این کار با ویژگی Snapshot انجام می‌شود.

برای اجتناب یا به حداقل رساندن خرابی ناشی از باج افزارها همیشه باید سیستم‌هایتان را به‌روز نگه دارید همچنین باید راهکار جامع بکاپگیری با ورژنینگ را انجام داده و نگه دارید. در نهایت هم، توانایی تبدیل سریع به نسخه قبلی، اهمیت بالایی دارد.

نکته‌ای که باید هنگام ایجاد Volume های استوریج، حتما رعایت کنید این است که مطمئن شوید یکی از گزینه‌های زیر را انتخاب کرده باشید. هر دوی اینها از Snapshot پشتیبانی می‌کنند:

1. Thick Multiple Volume
2. Thin Multiple Volume

قبل از اتمام، زمان بندی Snapshot را برای استوریج به صورت هفتگی، روزانه و حتی ساعتی انجام دهید.

اگر مورد هجوم باج افزار شدید و فایل‌هایتان با باج افزار رمزنگاری شد، به راحتی خواهید توانست تمام Storage Volume را به وضعیت قبل از آلوده شدن به باج افزار برگردانید. حتی می‌توانید هر فایلی را که می‌خواهید به نسخه قبل برگردد را انتخاب کنید و روی فابل رمزنگاری شده بازنویسی کنید.

چه کسانی هدف باج افزار هستند؟

تعداد قربانیان شرکتی و سازمانی توسط باج افزارها در حال افزایش است چون هکر، شانس بیشتری برای دریافت باج از سازمانها دارد مثلا دانشگاه‌ها. دانشگاه‌ها معمولا تیم امنیتی ضعیفی دارند و داشتن کاربران مختلفی که فایل به اشتراک می‌گذارند باعث می‌شود نفوذ به آنها راحت‌تر باشد. یا مثلا سازمان‌های دولتی و مراکز درمانی سریعا باج را پرداخت خواهند کرد چون باید به فایل‌هایشان دسترسی لحظه‌ای داشته باشند. سازمان‌های قانونی و دیگر سازمان‌هایی که اطلاعات حساس دارند هم با پرداخت باج مانع از انتشار اخبار می‌شوند. این سازمان‌ها مستعد حملات نوع leakware هستند.

کشورهای بریتانیا، امریکا و کانادا به ترتیب بیشترین قربانیان حملات باج افزار هستند. از آنجایی که آسیا و امریکای جنوبی دارای اقتصاد در حال رشد است تصور می‌شود میزان آلودگی به باج افزار هم بیشتر شود. دلیلش این است که ساخت باج افزار و آلودگی به آن در مناطقی که هم از کامپیوتر بیشتر استفاده می‌کنند و هم اقتصاد خوبی هست انجام می‌شود.

معمولاً، مهاجمان به طور خاص یک قربانی را مورد تحقیق و هدف قرار می‌دهند (مشابه whale-phishing یا pear-phishing که در واقع یک تکنیک مورد استفاده در دسترسی به شبکه است).

در بسیار از حملات فایل‌های حساس رمزگذاری شده، و مقدار پول زیادی برای بازیابی فایل‌ها و اطلاعات باج افزار، درخواست می‌شود. به طور معمول، مهاجمان لیستی از پسوند فایل‌ها یا مسیر فولدرهایی که هدف باج افزارها برای رمزگذاری است را در اختیار دارند. با توجه به رمزگذاری فایل‌ها، بازیایی فایل‎ها بصورت مهندسی معکوس و بدون در دست داشتن کلید رمزنگاری اصلی ناممکن است.

اقدامات لازم بعد از آلودگی به باج افزار

حالا آمدیم و به باج افزار آلوده شدیم. چکار کنیم؟

قانون اول این است که در صورت آلودگی به باج افزار هیچ پرداختی انجام ندهیم. این کار باعث می‌شود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود. ممکن است بتوانید با رمزگشاهای رایگان بخشی از فایل‌های رمزگذاری شده باج افزار را بازیابی کنید.

پس از حمله باج افزار، بازیابی اطلاعات باج افزار کار دشواری خواهد بود خصوصاً اگر به باج افزار Encryption آلوده شده باشد. چون در بسیاری موارد باج افزار از الگوریتم های پیشرفته و پیچیده استفاده می‌کند ممکن است هنوز رمزگشاهای آنها ارایه نشده باشد. حتی اگر رمزگشایی وجود داشته باشد مشخص نیست که نسخه مناسبی با بدافزار را پوشش دهد پس نباید از رمزگشای اشتباه استفاده کنیم.

بهتر است قبل از هر اقدامی به پیغام باج افزار دقت بیشتری کنید و از متخصصین امنیت و IT استفاده کنید.

در برخی موارد، ابزارهای جانبی توسط شرکت‌های امنیتی معرفی می‌شوند که می‌توانند فایل‌های رمزگذاری شده توسط برخی باج افزارهای خاص را رمزگشایی کنند. یکی از راه‌های مقابله با آلودگی باج افزاری دانلود محصول امنیتی با نام remediation است. آن را اجرا کنید تا اسکن و حذف خطر شروع شود. ممکن است که فایل‌هایتان را به دست نیاورید اما حداقل مطمئن هستید که دیگر به باج افزار آلوده نیستید. مثلا در مورد screenlocking با ری استور کردن کل سیستم می‌توانید مشکل را حل کنید و اگر این کار جواب نداد، اجرای اسکن را از cd یا یو اس بی bootable انجام دهید.

اگر می‌خواهید به باج افزار پاتک بزنید باید همواره آگاه باشید. بلافاصله وقتی دیدید سیستمتان بدون دلیل کند شده فورا آن را خاموش کرده و از اینترنت جدا کنید. اگر دوباره آن را روشن کردید و بدافزار همچنان فعال باشد، شما راه ارسال و دریافت از سرور کنترل را قطع کرده‌اید. در نتیجه بدون پرداخت باج و نیاز به کلید رمزگشا، بدافزار به صورت انتظار و idle درمی‌آید. سپس با دانلود و نصب محصول امنیتی و اجرای اسکن کامل، از شر بدافزار خلاص می‌شوید.